1. ev
  2. Soru-cevap
  3. nasıl Beni hayat için openLDAP

nasıl Beni hayat için openLDAP

2012-07-31 30 views
5

parola karma (SSHA) açmak, ben Bu her yerde bulmak gibi olamaz ve kimse bile bana bir link verirsen çok minnettar olacaktır.nasıl Beni hayat için openLDAP

Biz openLDAP içinde karma SSHA açmak için çalışıyoruz. Varsayılan olarak, ben şifreli olduğunu sanırım düz metin içinde şifreleri saklar ama hey ben bir AD adamım, bu yüzden ne biliyorum. Ama siz seçerseniz, hashing'i açmak için gereken bilgileri bulmayı kolaylaştıracaklarını düşünebilirsiniz. Ve sen seçmez misin?

kaynak

2012-07-31 Sevil Natas

+1

'dan edinebilirsiniz. Başkaları için burada dikkat etmeniz gereken bir şey var: Kimlik doğrulama veritabanında (LDAP, AD veya başka bir şey) karma şifreleri saklamak, . SASL, tel üzerindeki güvenliği (ağ üzerinden) önemli ölçüde iyileştirir, ancak orijinal parolanın bağlantının her iki ucunda da kullanılabilir olmasını gerektirir. Bu yüzden, trator, veri deposunda telin (SASL) daha iyi güvenliğine karşı daha iyi bir güvenliktir. –

+0

Man slapo-ppolicy' den: Add and Modify isteklerinde bulunan cleartext parolalarının veritabanında saklanmadan önce karma olması gerektiğini belirtin. Bu, X.500/LDAP bilgi modelini ihlal eder, ancak parolaları yönetmek için Parola Değiştirme genişletilmiş işlemini kullanmayan LDAP istemcilerini telafi etmek için gerekli olabilir. –

cevap

7

Sen karma algoritmasını değiştirmek için 'şifre karma kullanabilirsiniz varsayılan bir SSHA (değil düz metin)' dir. Olduğu gibi istemci bir karma şifreyi gönderiyor ise slapd, müşteriler tarafından gönderilen şifre düz metin olarak yalnızca, yukarıda kullanır

Not, bu depolanır.

için eg

: pam_ldap ile

nasıl şifre kriptografik özet gelip gelmediğini şifre gücü testleri sunucuda çalıştırmak olduğunu pam_password exop (veya açık) kullanın ve biliyorum ki bir özelliktir openLDAP sundu olduğunu ? (PPolicy/kabul etme seçeneği karma reddettiler şifre vardır) Eğer karma şifreleri göndermişse

, cant mukavemet testleri SLAPD, böylece müşteriler düz metin olarak şifreleri gönderirler.

Not:

  1. müşterileriniz (şimdiye passwds düz metin olarak gönderilmez) SSL/TLS
  2. userPassword nitelik özel karakterler içeren kullandığınızdan emin olun ({}) böylece bir base64 yapmak zorunda kullanılan karma algoritmayı tanımlamak için -d.

örn: normalde özellikler aşağıdaki biçimde döndürülür (:: sonuç kodlanmış base64 olduğunu gösterir)

userPassword:: e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ= 
= 

$ echo e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ==|openssl base64 -d 
{SSHA}B54UsfAhI7WPgqol5RCYyDu3NUjkYnUXXWicng==

kaynak

2012-07-31 19:58:59 Najmuddin

+2

Teşekkürler Naj. Önerileriniz çözümümüzün bir parçası oldu. Test gücü ile ilgili yorumum aslında, karmaşanın LDAP'ye auth için gönderilmeden önce yer almasını öneren başkalarını sorguluyordu. Yukarıdaki ifade, bana yorumdan şüphelenen bir şeydi. Tekrar teşekkürler ... kazan bana arkadaşım gider. –

1

OpenLDAP gelen yönetici seçmek için depolama düzenleri çeşitli destekler. Hesap oluşturmak için kullandığınız araç, karma işlemi yapacak şekilde yapılandırılmalıdır. Sunucu, parolaları istemci istekleri biçiminde depolar. karma düzgün yapılırsa, ldapsearch böyle karma şifreleri gösterecektir:

userPassword: {SSHA}d0Q0626PSH9VUld7yWpR0k6BlpQmtczb

Detaylar için http://www.openldap.org/doc/admin24/security.html bakınız. o idari araçları söz konusu olduğunda

Ben şahsen http://phpldapadmin.sourceforge.net

kaynak

2012-07-31 00:37:04 anttix

+0

Gerçekten mi? Yani parola karmaşasına sahip olmanın tek yolunun istemciye sahip olması ya da başka bir deyişle bir dış kaynağın bunu yapmasıdır. Bu optimumdan az ve biraz tehlikeli görünüyor. AD dünyasında merkezi olarak yapılır ve merkezi olarak yönetilir. Buna inanmam zor. –

+0

Bekleyin, parola hashed geliyorsa parola gücü sınamaları sunucuda nasıl çalışır ve açık bir özellik olan openLDAP touts olduğunu biliyorum? –

+0

LDAP sadece bir dizindir. Şifre politikalarını zorunlu tutmak, depolama katmanı değil kimlik doğrulama katmanına kadardır. Gerçekten UNIX dünyasının işleyiş şekli bu, sadece bir şeyi yapan ve iyi yapan bir araç var. Şifre ilkelerini uygulamak için, kullanıcılarınızın şifrelerini değiştirmek için kullanacakları aracı, bir web arayüzü veya komut satırı yardımcı programı olarak yapılandırmanız gerekir. Bunun her şeyi yapan “merkezi” bir şey olmadığına inanmak zor olabileceğini anlıyorum, ama bu modülerlik fikri. – anttix

2

öneriyoruz LDAP Spec birlikte çalışabilirlik için düz metin şifreleri gerektirir. Güvenlik konusunda yukarıda verilen bağlantı size sunucunun uygulayabileceği varsayılan karma türleri için seçenek sunacak, ancak sonuçları dikkate alacaktır.

kaynak

2012-07-31 04:17:45 jeffmedcalf

+0

Düz metin göndermenin gerekliliği konusunda haklısınız. Bu yüzden openLDAP, parolaları şifrelemeyi başlatmak için yapılandırılmadan önce SL'nin açılmasını gerektirir. Sorum şu ki, neden hashing'in kapalı metin ile düz metin şifrelerini göndermesine izin veriyor. Güvenlik bilge, get hashing'in açılmasını ve kullanıcının onu kapatmasını gerektirmek daha iyi olmaz. BSD modelinin çeşitliliği, varsayılan olarak kapalı olan her şeyin tehlikeli maddeleri açmak için öğrenilmesini gerektirir. –

1

LDAP işlemlerini değiştirme/ekleme içinde userPassword niteliğini saklamak için çalıştı, userPassword değeri düz metin olarak saklanır. Ama OpenLDAP içinde ppolicy bindirme modülünde ppolicy_hash_cleartext seçeneğini kullanarak bu davranışı geçersiz kılabilirsiniz. İstemciyi etkinleştirdikten sonra, istemci düz metin şifresi gönderdiğinde, varsayılan olarak SSHA olarak saklanır.OpenLADP'de hash parolasını etkinleştirmekle ilgili daha fazla bilgiyi here

kaynak

2015-06-26 07:33:57 Asela

 İlgili konular

  • İlgili sorun yok^_^